QR iškoduotas: nekaltuose paveikslėliuose tyko pavojai

2015 m. liepos 9 d. 08:46
Gediminas Gasiulis
Ar vos pamatę QR kodą skubate patikrinti, kokia informacija jame užkoduota? Neskubėkite: šie nekaltai atrodantys paveikslėliai gali platinti žalingas programas arba tiesiog jus apvogti, o jūs to nė nepastebėsite.
Daugiau nuotraukų (1)
QR kodas (angl. Quick Response code) yra dviejų išmatavimų brūkšninis kodas. Tokį kvadratinį paveikslėlį nuskaičius išmaniuoju telefonu (tam reikia specialios programėlės), pateikiama tam tikra informacija. Tai gali būti tinklalapio nuoroda, žmogaus duomenys (vizitinė kortelė), trumpa žinutė ar net paveikslėlis.
Vienos Japonijos kompanijos 1994 metais sugalvotas būdas patogiai ir greitai žymėti detales bei sekti jų judėjimą netrukus prigijo ir kitose srityse. Šiandien QR kodai naudojami reklamose, spausdinami ant vizitinių kortelių, bilietų, prekių ir t.t.
Tai yra patogus būdas perduoti nedidelį kiekį informacijos, tačiau viena pagrindinių QR kodo problemų yra ta, kad naudotojas negali iš anksto patikrinti ir sužinoti, kas slypi juodų ir baltų taškelių raizgalynėje. O žmonės iš prigimties yra smalsūs. Todėl dažnas neatsispiria pagundai nuskaityti QR kodą, net jei jį gavo iš nepažįstamo asmens ar apskritai pastebėjo kažkur mieste.
Ir tik nedaugelis žino, kad QR kodai gali būti žalingi.
Vienas bandymas – 5 doleriai
Nuskenavus QR kodą telefone ar planšetėje veikianti programa bando suprasti, kokie duomenys yra užkoduoti. Pačiame paveikslėlyje, jei jis nebuvo pakeistas, visada bus užkoduota ta pati informacija. Kaip ir raidės knygoje.
Tačiau QR kodą gali sukurti piktavaliai ir jame užkoduoti žalingus duomenis. Pavyzdžiui, nuorodą, vedančią į virusus platinantį tinklalapį. Ar net slapta įdiegti pačią kenkėjišką programą. Tokie QR kodai gali būti platinami įvairiausiais būdais.
„2012 metais Rusijoje tokie blogiukai prispausdino gražių lipdukų, plakatų ir juos masiškai išklijavo – metro, autobusų stotelėse, restoranų tualetuose ir t.t. Juose buvo raginama nuskenuoti kodą ir rusiškai kažkas parašyta, „Laimėk loterijoje“ ar panašiai. Žmogus traukia telefoną ir skenuoja. Ekrane pasirodo pranešimas: „Nelaimėjai, bandyk dar kartą.“ Kas iš tiesų įvyko? Buvo išsiųsta SMS žinutė papildomai apmokestinamu numeriu. Viena žinutė – berods 5 doleriai. Tiesiai blogiukui į kišenę. Žmogus laukia traukinio, nieko neveikia ir skenuoja – vieną, antrą, trečią kartą... Tai sukūrę jaunuoliai yra milijonieriai“, – vieną iš pagarsėjusių QR kodo piktybinių panaudojimo būdų prisiminė „Teo“ Technologijų ir IT vadovas Andrius Šemeškevičius.
Prieš keletą metų, anot jo, buvo aptikta dar viena spraga: nuskenavus specifinį QR kodą „Samsung“ telefonu, įrenginys nė nepaprašęs savininko leidimo grąžina gamyklinius nustatymus ir ištrina visus duomenis – nuotraukas, vaizdo įrašus, užrašus ir t.t.
Demonstruoja fantaziją
Kaip pakenkti vartotojams, priklauso tik nuo programišių fantazijos. Populiariausi sukčiavimo būdai:
* Fišingas. Vartotojui pateikiama nuoroda į tinklalapį, kuris itin primena tikrą prisijungimo puslapį (pvz., interneto bankininkystės, el. pašto, socialinio tinklo ir t.t.). Paprasčiausias būdas atskirti tokius tinklalapius nuo originalo – atkreipti dėmesį į jų adresą. Mobilieji įrenginiai programišiams – tikras lobis, mat taupant vietą ekrane interneto naršyklės juose adreso eilutę dažnai tiesiog paslepia, o „ištraukti“ ir ją patikrinti sugalvoja retas. Tokiame puslapyje įvedus prisijungimo duomenis, jie nukeliauja tiesiai į piktavalių rankas.
* Virusų platinimas. Nuskenavus QR kodą įrenginys be vartotojo žinios inicijuoja kenkėjiškos programos atsiuntimą iš nurodyto puslapio ir jos įdiegimą. Tuo metu vartotojas gali tiesiog matyti žinutę, pavyzdžiui, apie (ne)laimėtą prizą. Tokių kenkėjiškų programų paskirtis gali būti įvairi: papildomai apmokestintų SMS siuntimas, įtraukimas į „botnet“ tinklus, duomenų rinkimas ir nutekinimas programišiams ir t.t.
* Kenkėjiškos svetainės. Programišių sukurti tinklalapiai gali ne tik platinti virusus, bet ir išnaudoti naršyklių spragas. Pats puslapis gali nesukelti įtarimo, tačiau pasinaudodami pažeidžiamumais įsilaužėliai gali įjungti mikrofoną ar vaizdo kamerą, knistis po naršymo duomenis, siųsti el. laiškus ar prisijungti prie „botnet“ tinklo. Visa tai vyksta „fone“ ir vartotojai to net nepastebi – įtarimų gali sukelti nebent sulėtėjęs įrenginio veikimas.
Kaip apsisaugoti?
Svarbiausias patarimas – išlikite budrūs, bet neužsikrėskite paranoja.
Jei QR kodą matote ant pažįstamo žmogaus vizitinės kortelės, žinomos kompanijos ar organizacijos reklamoje ir ypač jei jis atspausdintas kartu su visu plakatu, o ne užklijuotas kaip lipdukas – vargu ar jis kuo nors pakenks. Atsargiau derėtų įvertinti QR kodus, kuriuos randate priklijuotus gatvėse ant stulpų, skelbimo lentų ir kitose viešose vietose, ypač jei aprašymas skamba miglotai ar įtartinai (pvz., siūlo laimėti loterijoje ar gauti ką nors nemokamai).
Jei QR kodas nuvedė į tinklalapį – patikrinkite jo adresą. Ypač tais atvejais, kuomet tinklalapyje prašoma įvesti asmeninius duomenis arba prisijungti.
Taip pat rekomenduojame naudoti saugią ir patikimą QR kodų nuskaitymo programėlę. Vienas iš variantų – nemokama aplikacija „Norton Snap“, kurią gali atsisiųsti tiek „Android“, tiek „iOS“ įrenginių savininkai. Ji ne tik parodo nuorodą vartotojui, bet ir patikrina ją vidinėje duomenų bazėje. Jei QR kodo pateikti duomenys pasirodo įtartini, programėlė apie tai išsyk įspėja.
Ramiau jaustis padės ir išmaniajame telefone įdiegta antivirusinė programa.

UAB „Lrytas“,
A. Goštauto g. 12A, LT-01108, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus pagalba@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App StoreGoogle Play Store

Sekite mus:

Visos teisės saugomos. © 2024 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.